Une campagne coordonnée de cyberattaque impliquant au moins 16 extensions Chrome malveillantes a compromis plus de 3,2 millions d’utilisateurs dans le monde.
Ces extensions, se faisant passer pour des outils légitimes tels que des utilitaires de capture d’écran et des bloqueurs de publicités, exploitent les vulnérabilités des navigateurs pour exécuter des fraudes publicitaires et manipuler l’optimisation des moteurs de recherche (SEO).
Une attaque sophistiquée implique plusieurs étapes
Les auteurs de cette campagne auraient obtenu l’accès à certaines de ces extensions auprès de leurs développeurs d’origine, puis injecté du code malveillant pour détourner les sessions des utilisateurs et dégrader la sécurité du navigateur.
Cette chaîne d’attaque sophistiquée implique plusieurs étapes, notamment l’utilisation de service workers pour communiquer avec des serveurs de configuration uniques, permettant la récupération et l’exécution dynamiques de charges utiles JavaScript obscurcies à partir de serveurs distants.
Un aspect particulièrement inquiétant de cette attaque est la manipulation de la politique de sécurité du contenu (CSP). En déployant des agents de service pour supprimer les en-têtes CSP des 2 000 premiers sites Web visités par session, les attaquants créent un environnement permissif pour les activités malveillantes, permettant l’injection de scripts et de contenus non autorisés.
La sécurité du navigateur facilite une série d’activités malveillantes
La dégradation de la sécurité du navigateur facilite une série d’activités malveillantes, notamment la modification des règles de filtrage des requêtes réseau, la manipulation des résultats des moteurs de recherche et l’injection d’iframes avec du contenu distant, ciblant notamment les plateformes de commerce électronique dans des régions spécifiques.
Malgré leur suppression du Chrome Web Store, ces extensions malveillantes continuent de représenter une menace pour les utilisateurs qui ne les ont pas désinstallées manuellement. Il est impératif pour les utilisateurs de vérifier les extensions Chrome qu’ils ont installées et de supprimer celles qui sont suspectes ou non reconnues.
